Google Chrome spielt ab September keine versteckten Flash-Inhalte mehr ab

BrowserWorkspace

Die Änderung wird mit Chrome 53 umgesetzt. Laut Google sind aktuell 90 Prozent der Web-Inhalte in Flash für Nutzer nicht sichtbar und daher nicht relevant. Mit dem für Dezember angekündigten Chrome 55 soll dann komplett auf HTML5 umgestellt werden.

Google hat jetzt den nächsten Schritt zur Verbannung von Flash aus dem Web angekündigt: Mit dem für September geplanten Chrome 53 sollen standardmäßig keinerlei versteckte Flash-Inhalte mehr angezeigt werden. Mit der Ankündigung steht nun offiziell fest, was bereits im Mai inoffiziell durchgesickert war.

Google Chrome (Bild: Google)

Damit setzt Google dann im nächsten Monat etwas um, was Mozilla für Firefox bereits diesen Monat und Microsoft mit seinem neuen Browser Edge im Zuge des Anniversary Update getan haben. Bereits jetzt können Anwender bei Firefox und Chrome Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Diese als “Click-to-play” bezeichnete Funktion soll laut Mozilla bei Firefox dann 2017 “für jedwede Art von Inhalten” erforderlich werden, bevor Webseiten das Flash-Plug-in aktivieren. Bei Chrome soll die Funktion ab Dezember mit Chrome 55 standardmäßig für alle Flash-Inhalte aktiviert sein. Der Google-Browser wird dann nur noch Webseiten, die ausschließlich aus Flash-Inhalten bestehen, mit dem Plug-in anzeigen, aber auch das nur noch nachdem Nutzer zuvor in einer Dialogbox ihre Zustimmung gegeben haben.

Laut Google-Mitarbeiter Anthony LaForge, der für Flash in Chrome zuständig ist, werden heute rund 90 Prozent der Flash-Inhalte im Web im Hintergrund geladen und von Diensten wie Analysewerkzeugen genutzt. Sie hätten daher für den Besucher der Website keinen Nutzen und würden lediglich dafür sorgen, dass die Seite langsamer lädt. Diese Inhalte sollen nun mit Chrome 53 geblockt werden. Bereits im September vergangenen Jahres wurde mit Chrome 42 die Standardeinstellung für viele Flash-Inhalte, die für die Webseite als solche nicht als wesentlich eingestuft wurden, auf Click-to-play gesetzt.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als "kritisch" eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).
Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als “kritisch” eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Die Browser-Plug-ins für den Adobe Flash-Player sorgen nicht nur häufig für Abstürze, sondern sind wegen ihrer großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Hackern. Nicht zuletzt deshalb sind Alternativen stark auf dem Vormarsch. Vielbesuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos schon seit vergangenen Jahr auf HTML5.

Bei den nicht sichtbaren Flash-Inhalten handelt es sich im Wesentlichen um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts und ExternalInterface aufrufen. Sie erhalten so eine Liste aller auf dem Rechner installierten Schriftarten. Da diese Liste sehr individuell ist und – bei Bedarf zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting verwendet. Dies ermöglicht die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun und selbst dann, wenn er keine Cookies zulässt. Zu diesen Inhalten gehören auch die sogenannte “Supercookies”, in der Regel Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String “Cookie” enthalten. Auch sie werden künftig nicht mehr abgespielt.

Von den von Stormshield für das Vulnerabilities Barometer untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield)
Von den vom Security-Anbieter Stormshield für sein im Mai vorgestelltes “Vulnerabilities Barometer” untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield)
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen